所谓“姜太公钓鱼,愿者上钩”,钓鱼者首选的策略是通过大量散发诱骗邮件、垃圾短信,冒充成一个可信的组织机构(通常是受害者所信任的机构),去引诱尽可能多的用户。钓鱼者会发出一个让用户采取紧急动作的请求,而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害,这封欺骗性的电子邮件将会包含一个容易混淆的链接,指向一个假冒目标机构公开网站的远程网页。
钓鱼攻击的手段
钓鱼攻击常用的手段归纳起来主要分为两类,第一类主要通过漏洞触发,包括目标网站服务器漏洞(如XSS、SQL注入),第三方引用内容的问题(如IFRAME挂马),网站IT支撑环境相关的DNS、HTTPS、SMTP服务缺陷(如DNS劫持),以及客户端终端环境存在的隐患,攻击者利用这些漏洞结合社会工程学对受害者进行诱骗。第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗,如发送大量诱骗邮件、搜索引擎虚假信息,发布各类仿冒网站等。
钓鱼攻击的常见攻击手段
攻击手段 |
攻击类别细分 |
由漏洞触发引起的钓鱼攻击 |
网站自身弱点 |
第三方引用内容问题 |
|
客户端弱点 |
|
其他如弱点 |
|
非漏洞触发引起的钓鱼攻击 |
虚假诱骗 |
内容仿冒 |
|
域名仿冒 |
|
社会工程 |
|
综合的钓鱼攻击技巧应用 |
欺骗性弹窗 |
隐藏显示 |
|
欺骗性超链接 |
|
修改HOSTS文件 |
|
恶意插件 |
钓鱼攻击的特点
钓鱼攻击最大的特征即是具有极大的欺骗性。攻击者制作一个仿冒网站,类似于真实网站的克隆,再结合含有近似域名的网址来加强仿真度,进而进一步骗取用户的信任。
-
欺骗性
网络钓鱼最大的特征即是具有极大的欺骗性。大家都已经听说过假币,利用极度模仿的手法去伪造真实货币的样貌,不管是什么角度来看都是和真实的没有什么两样,网络钓鱼者可以利用自己的站点去模仿被钓网站的页面,类似于克隆一样,然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器,在服务器上面做相同的事情,让自己可以更好的脱离其中,逃避追踪以及调查。
-
针对性
我们可以在APWG(Anti-Phishing Working Group)的钓鱼报告可以看出,通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等等的网站机构,随着互联网飞速的发展,电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动,带动了很多的新兴行业,也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。
-
结合性
我们正在使用的操作系统以及程序都会出现很多的安全隐患以及漏洞,钓鱼者会利用这些漏洞从而来进行攻击,例如:利用Internet Explorer的一些漏洞去构造连接地址,或者利用漏洞去种植间谍软件或者键盘木马等等。
-
多样性
网络钓鱼一种针对人性弱点的攻击手法,钓鱼者不会千篇一律的去进行攻击,不管是网络、现实到处都存在着钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站,虚假邮件等等的手法,钓鱼者会结合更多的便民服务,人性的贪婪去想象更多令人容易心动,容易受骗的形式去骗被钓者,从而在更短的时间内得到最好的效果。
-
可识别性
网络钓鱼并不是无懈可击,更加不是说可以完完全全的没有破绽。从钓鱼者的角度出发,钓鱼者本身会利用最少的资源去构造自己的钓鱼网站,因为无法去利用真实网站一些独有的资源(例如:域名,USBKEY,数字验证等等)所以,在伪造网站的方面,会利用近似或者类似的方法来进行欺骗,通常我们可以查看伪造网站以及根据经验去识别其真实性,当我们查看HTML源码或者是一些独有的资源时,我们就可以很容易看出虚假网站的真实性了。
反钓鱼的整体防护思路
钓鱼网站的频繁出现,已经影响到商业银行互联网业务的拓展,损害了商业银行的品牌和声誉,同时还危害到社会公众利益,干扰了公众使用电子金融产品的信心。如何及时发现钓鱼网站,有效控制钓鱼攻击带来的影响,已成为全球关注并感到棘手的问题,也是各银行业金融机构目前迫切需要解决的问题。
基于“事前-事中-事后”循序改进的防护思路
为了有效应对钓鱼攻击,应该全面评估钓鱼攻击可能利用的各种弱点,以及黑色产业链条各个环节可能带来的影响,需要建立一个覆盖立法监管、培训和教育、举报和反馈,以及技术监控等多个层面的反钓鱼体系。
从立法监管层面来看待“反钓鱼”,主要考虑如何维护一个稳定、和谐的网络社会次序,包括互联网内容监管、域名注册监管,以及服务器运维托管监管等工作,应该尽早明确各项事务所遵循的法规、执行机构所肩负的责任和权力,同时协调、整合业界多种优势资源,集中投入到“反钓鱼”监控体系。
从技术监控、培训和教育、举报和反馈等层面来看待“反钓鱼”,应该兼顾网上银行、电子商务平台运营机构,以及终端用户的防护需求,建立一个快捷、高效的举报和反馈平台,部署一套先进、智能的钓鱼网站监测系统,并加强终端用户的安全意识培训和教育。
对抗网络钓鱼,应该遵循“主动搜索,积极防御”的原则,也就是尽早发现尽可能多的钓鱼网站,并通过多种方式予以控制。一个较为行之有效的思路:基于事件发生的时间线索,把钓鱼攻击拆分成三个阶段,分别实施有针对性的监测和控制。
如果把钓鱼网站的发现到关闭这个阶段定义为“事中阶段”,包含至少一次完整的钓鱼攻击,那么这个阶段主要考虑控制钓鱼攻击的影响。在钓鱼网站真正产生危害之前,即便钓鱼网站已经存活,但没有发现,这个阶段可定为“事前阶段”,主要解决如何及时发现钓鱼网站,并通知用户的问题。基于钓鱼攻击的后续处理阶段,则统称为“事后阶段”,包括案例总结、分析,专项整改等事项,以避免同类事件的再次发生。
有了明确的时间边界,以及确定的防护需求和工作目标,反钓鱼解决方案才能更充分、更完整地发挥其应有的效益。基于此思路,循序改进,从而最终建立一个完善的反钓鱼体系。
总结上述提到的“事前–事中–事后”分阶段防护思路,大体可以把反钓鱼整体解决方案拆分成三个部分。
-
事前预警
通过定期主动评估,评估内容包括业务流程风险分析、环境脆弱性评估,及时找出业务流程及基础环境中存在的问题,通过主动评估既能保障业务系统的正常运转,又能防范钓鱼攻击等安全事件的发生。同时采用实时安全监测的方式,根据网站所有者的域名、IP和关键字组合清单,定期对不同传播方式(如搜索引擎)的相关内容进行监测,监测使用这些信息渠道的访问者被钓鱼攻击的风险,第一时间启动紧急预案,做出响应。
-
事中防御:
在发现钓鱼网站之后,采用多种方式控制钓鱼攻击可能带来的影响,主要包括关停域名、阻断终端用户对钓鱼网站的访问等方法。
控制钓鱼攻击,最有效方法的就是直接关停钓鱼网站,从根本上杜绝钓鱼攻击的发生。例如APAC在处理这一类问题时,主要通过协调中国互联网信息中心(CNNIC)来关停CN域名的钓鱼网站,然而随着CN域名实名制工作的不断完善,注册CN域名制作钓鱼网站将逐渐成为历史,当前关停钓鱼网站还存在一些技术上的难度和局限性。如,境外注册的钓鱼网站,无法快速阻止;钓鱼网站生存周期短,成本低,可快速复制,关停力度凸显不足。另外,停止钓鱼网站的域名解析也有一定风险,如果用户误报了钓鱼网站,一旦被关停将导致法律风险。为了避免这种风险,在发现可疑钓鱼网站后,必须提交目标机构确认,在获得授权后再上报有关机构,查封恶意域名。
尽管关停钓鱼网站能够从根本上解决钓鱼问题,但这个过程往往会花费几个小时,甚至几天的时间,这对于分秒必争的反钓鱼工作,是不能接受的。因为难以操作,效力有限(仅针对.COM或.CN域名生效),商业银行在尝试关停钓鱼网站的同时,还可以同步实施的反钓鱼措施是网站屏蔽,通过合作伙伴,结合主动、准确的钓鱼网站检测和发现机制,将最新的钓鱼网站信息,通过客户端提示的方式,快速告知客户,从客户端阻断可能发生的钓鱼网站访问行为,以减轻钓鱼攻击所造成的损害。
-
事后整改:
钓鱼攻击的本质问题是人的认知问题,因为无法准确识别出钓鱼网站,才导致终端用户访问了高风险的页面。如果能提升用户对钓鱼风险的识别能力,则能极大降低钓鱼攻击发生的概率。看似普通的安全意识教育,在对抗钓鱼攻击的过程中,反而能产生最大的功效。
在事后整改阶段一方面要基于当前案例的分析结论,修补业务流程、业务环境存在的弱点;另一方面要加强终端用户的安全意识培训力度,防范于未然。当然,此类培训更应该作为一项日常工作,周期性地持续开展下去。
在本阶段应该重点强调安全意识教育的重要性,安全意识教育本身应该是形式多样的,可以与终端用户的日常生活、工作结合起来。在加强用户识别可疑站点的同时,增加用户对特定的关键信息进行强化记忆,可以是特定网站的登陆界面、特殊图片、特定信息等,而不是单一的通过安全意识培训进行宣贯。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880